Defendendo-se de auditorias de fornecedores de software: Microsoft, Oracle, Adobe
Quando a carta de auditoria chega, você tem 30–60 dias para montar os entregáveis. Feita bem, a auditoria fecha neutro ou a seu favor. Feita mal, você assina um true-up de seis dígitos. Aqui está o playbook defensável para cada grande fornecedor.
Microsoft, Oracle, IBM, Adobe, SAP e Autodesk executam programas formais de auditoria de licenças. O direito de auditoria está no seu contrato mestre; recusar não é realmente uma opção. O que é opcional é se você chegará preparado ou improvisando.
A forma da auditoria é consistente entre fornecedores: varredura de descoberta, revisão de direito de licença, cálculo de lacunas, oferta de true-up. O truque é saber o que cada fornecedor procura e onde estão as linhas negociáveis.
O playbook geral de defesa (qualquer fornecedor)
- Confirme por escrito, mas não se comprometa ainda com um prazo. Linguagem padrão: "Confirmamos o recebimento e responderemos dentro de 10 dias úteis com um cronograma proposto."
- Envolva jurídico e compras. Auditorias são regidas pelo contrato mestre; a maioria tem cláusulas de aviso, escopo e razoabilidade. Leia-as.
- Forme uma pequena equipe de auditoria: um líder de TI, um líder financeiro, um líder jurídico. Ponto único de contato com o fornecedor.
- Execute sua própria descoberta primeiro. Antes de deixar o fornecedor varrer, saiba o que encontrará. Reconcilie com os direitos. Identifique lacunas e prepare a explicação.
- Limite o escopo. A cláusula de auditoria raramente é tão ampla quanto o primeiro pedido do fornecedor. Negocie amostras, períodos de tempo e quais entidades estão no escopo.
- Forneça o que é necessário, não mais. Não ofereça dados voluntariamente. Não conceda acesso além do escopo contratual.
- Conteste as constatações. A saída bruta da descoberta não é o número final. Aplique direitos contratuais, cláusulas de uso justo, rebaixamentos de versão e evidências de desativação.
- Negocie o true-up. Mesmo um déficit confirmado raramente é pago pelo preço de lista. Descontos de 30–60% sobre o true-up declarado pela auditoria são normais se você tiver alavancagem.
Microsoft (engajamento SAM / SPLA / auditorias EA)
As auditorias da Microsoft são executadas por terceiros certificados (Deloitte, KPMG, EY) sob o programa SAM (Software Asset Management). Focam em:
- Licenciamento de servidor — Windows Server, SQL Server, especialmente erros de contagem em licenciamento por núcleo.
- Licenciamento de usuário Office 365 / Microsoft 365 — assentos atribuídos vs. consumidos.
- Cenários de VDI / RDS onde usuários acessam software desktop remotamente.
- Uso indevido de SQL Server Enterprise vs Standard (funcionalidades Enterprise usadas em licenças Standard).
Onde as lacunas costumam estar
- Hyperthreading e virtualização: o licenciamento por núcleo exige contar núcleos, não VMs. Mal-entendimento aqui gera ~40% das constatações da Microsoft.
- Funcionalidades do SQL Server: funcionalidades como Always On, In-Memory OLTP requerem Enterprise; usá-las em Standard é a segunda constatação mais comum.
- Super-atribuição no O365: usuários desativados ainda consumindo licenças.
A alavanca de defesa
A Microsoft oferece direitos de "License Mobility" e downgrade. Uma constatação que diz que você está usando funcionalidades Enterprise às vezes pode ser remediada por atualização-depois-downgrade, ou reatribuindo licenças em toda a estrutura. Sempre verifique se você tem licenças Enterprise não utilizadas em outro lugar antes de concordar em comprar novas.
Oracle (engajamento LMS)
As auditorias do Oracle License Management Services (LMS) são as mais agressivas do setor. Focam em:
- Banco de dados — uso de funcionalidades Standard Edition vs Enterprise Edition.
- Java SE — sim, Java é licenciado agora; assuma escrutínio.
- WebLogic, Middleware — pacotes baseados em funcionalidades.
- Virtualização — VMware em particular. A posição da Oracle: o cluster vSphere inteiro deve ser licenciado, a menos que particionado fisicamente. Isso é contestado mas caro para brigar.
Onde as lacunas costumam estar
- Funcionalidades Enterprise Edition em Standard: particionamento, segurança avançada, real application clusters.
- Java SE: qualquer instalação do Oracle JDK após janeiro de 2019 provavelmente precisa de uma assinatura.
- Contagens de host VMware: a disputa é se qualquer host que poderia executar uma VM Oracle precisa ser licenciado.
A alavanca de defesa
As constatações da Oracle frequentemente incluem posições disputadas (especialmente em virtualização). Documente particionamento rígido, clusters com vMotion desabilitado e quaisquer exceções contratuais negociadas. Se você não tem cobertura de ULA (Unlimited License Agreement), o momento para negociar uma pode ser durante a auditoria — a Oracle trocará constatações de auditoria por um ULA plurianual em muitos casos.
A armadilha do Java
O Oracle Java SE passou para assinatura em 2019. Muitas empresas continuaram usando o Oracle JDK sem perceber. Se a sua frota de desenvolvimento roda o Oracle JDK (em vez do OpenJDK ou Adoptium), você tem uma exposição real. Migre para o OpenJDK antes da auditoria, não durante.
Adobe
As auditorias da Adobe têm como alvo o Creative Cloud e o Acrobat. Focam em:
- Atribuição de usuário vs. instalação — a Adobe vende por usuário; você não pode instalar em mais dispositivos do que a licença permite.
- Usuários simultâneos em estações de trabalho compartilhadas.
- Licenciamento educacional vs. comercial para organizações que compraram edu mas usam comercialmente.
A alavanca de defesa
A Adobe é altamente receptiva a um trade de "vamos renovar em nível superior". As constatações de auditoria frequentemente são incorporadas a uma renovação em termos favoráveis.
IBM, SAP, Autodesk — notas rápidas
| Fornecedor | O que analisam |
|---|---|
| IBM | Licenciamento PVU (Processor Value Unit) em middleware. O licenciamento de sub-capacidade requer que o ILMT (IBM License Metric Tool) esteja rodando por 90+ dias antes da auditoria. |
| SAP | Acesso indireto / digital — sistemas de terceiros chamando o SAP. O famoso "caso Diageo" (true-up de £55M) vem disso. Documente cuidadosamente o acesso via API. |
| Autodesk | Simultâneo vs. usuário nomeado. Investigações de pirataria de software às vezes acionadas por dicas de revendedores. |
Higiene pré-auditoria que previne 80% das constatações
- Registro de direito de licença por fornecedor: contratos carregados, contagens de direitos extraídas, datas válidas.
- Dados de descoberta atualizados mensalmente: quem tem o quê instalado, onde, desde quando.
- Relatório de reconciliação: direito vs. consumo, lacunas destacadas com explicações.
- Evidência de desativação: quando você remove uma implantação, documente. Os fornecedores contarão tudo o que puderem provar que foi implantado.
- Cláusulas de contrato extraídas: prazos de aviso, limites de frequência de auditoria, limites de escopo.
Se você pode produzir tudo acima sob demanda, uma auditoria se torna burocracia. Sem eles, se torna uma negociação começando pela matemática do pior caso do fornecedor.
Como a InventorIA ajuda
A InventorIA rastreia direitos de licença vs. uso real continuamente, não apenas no momento da auditoria. As integrações do Microsoft 365 / Adobe / Oracle / Salesforce alimentam o consumo de assentos automaticamente; a análise de contratos extrai contagens de direitos dos PDFs. O resultado: quando a carta de auditoria chega, a reconciliação já está feita — você responde com dados, não com pânico.
Esteja pronto para auditoria antes da carta chegar
Rastreamento contínuo de direito vs. consumo. O plano gratuito cobre 10 usuários.
Comece grátis →